Cloudflare: Διαρροή ευαίσθητων προσωπικών δεδομένων σε πλήθος υπηρεσιών

Αναταραχή σε πλήθος διαδικτυακών υπηρεσιών, ανάμεσά τους στις Uber, Fitbit και OkCupid, έχει προκαλέσει η διαπίστωση ότι σφάλμα στην πλατφόρμα της Cloudflare, η οποία φιλοξενεί και προστατεύει πέντε εκατομμυρίων ιστοσελίδων διεθνώς, προκαλούσε διαρροή password, cookies, αποδεικτικών πιστοποίησης ταυτότητας ακόμα και ολόκληρων μηνυμάτων και άλλων ευαίσθητων προσωπικών δεδομένων.

Μάλιστα, το bug «έσταζε» δεδομένα από το cloud από τις 22 Σεπτεμβρίου 2016 μέχρι που ο Tavis Ormandy, ερευνητής θεμάτων ασφαλείας στο Google Zero παρατήρησε κάτι παράξενο στις 17 Φεβρουαρίου 2017.

Σύμφωνα με την έρευνα που διεξάγεται έκτοτε, το σφάλμα στον κώδικα της Cloudflare έστελνε πλήθος στοιχείων στον browser του χρήστη που δεν χρειαζόταν να στείλει, κάθε φορά που γινόταν κλήση μιας ιστοσελίδας που φιλοξενείται στους διακομιστές της. Συγκεκριμένα, το bug έστελνε περισσότερα από όσα χρειαζόταν μετά από την υπερχείλιση του χώρου προσωρινής αποθήκευσης της εκάστοτε ιστοσελίδας (buffer overrun) στην Cloudflare, εξηγεί η εταιρεία σε εκτενή σχετική δημοσίευση.

Μεταξύ των δεδομένων που διέρρευσαν ήταν προσωπικά μηνύματα από μεγάλες υπηρεσίες ραντεβού, μηνύματα από μια γνωστή υπηρεσία ανταλλαγής μηνυμάτων, κωδικοί από υπηρεσίες διαχείρισης password, καρέ από σάιτ βίντεο για ενήλικους, και κρατήσεις σε ξενοδοχεία, cookies, password και πολλά άλλα, σημειώνει ο Ormandy. O ερευνητής αναφέρεται συγκεκριμένα σε στοιχεία από την Uber και το 1Password.

Η Cloudflare συνεργάστηκε με τον Ormandy και άμεσα, εντός 45 λεπτών διέκοψε την παροχή κάποιων υπηρεσιών που αφορούσαν στην ασφάλεια των ιστοσελίδων/υπηρεσιών που εξυπηρετεί (όπως η απόκρυψη e-mail από bot που στέλνουν spam). H εταιρεία επιχειρεί να κατευνάσει την ανησυχία που προκάλεσε η εκτεταμένη διαρροή, εντούτοις πολλοί ειδικοί προτρέπουν χρήστες, διαχειριστές ΙΤ και υπηρεσίες να αλλάξουν password παντού, «χωρίς καν να αναζητήσετε εάν οι υπηρεσίες που χρησιμοποιείτε φιλοξενούνται στην Cloudflare», γράφει χαρακτηριστικά το medium.com

Η Cloudflare επιμένει ότι παρά την ύπαρξη της διαρροής επί πέντε μήνες δεν υπάρχουν αποδείξεις ότι κάποιος την εκμεταλλεύτηκε, εντούτοις δεν υπάρχουν αποδείξεις ούτε για το αντίθετο.

Reuters,tech.in.gr